个资漏光光　绝大多数Android手机出厂前就有漏洞
调整内文
智慧型手机的便利性，已经是成为一般人生活中不可分割的一部分，
行动支付、银行转帐交易与信件往来，都靠这台智慧型手机。
在一般人传统的印象中，智慧手机的安全问题大部分都是由于使用者
的操作不当所造成的，但对于成上亿的Android设备而言，根据研究
调查指出，绝大多数Android智慧型手机出厂时就存在大量漏洞，造
成资料外泄的根本原因就是设备本身存在漏洞，并且被隐藏在零件中
，只是等待着被用户不小心发现或利用而已。
根据《腾讯网》报导指出，这些漏洞是谁造成的呢？有两种可能，有
些是智慧手机制造商，还有一些可能是将手机卖给你的电信运营商。
由行动安全公司Kryptowire最新研究报告中指出，在该公司详细介绍
在10部由美国主要运营商销售的智慧手机中，里面自带着大量令人不
安的漏洞。
Kryptowire执行长Angelos Stavrou和研究主管Ryan Johnson在本周
五的黑帽安全会议上公布最新的研究成果，该项目主要是由美国国土
安全部负责资助。
这些漏洞在造成潜在后果的严重程度上，可以让不法之徒秘密锁定设
备的麦克风以及其它功能的权限，而这些漏洞都有一个共同的特点
：形式不固定，不易被发现。
相反，这些漏洞算是Android这种开放性作业系统的副产品，可以让
协力厂商公司根据自己的喜好任意修改代码。
也就是从本质上而言，因为Android本身就允许被修改，给人们更多
的选择，例如Google在今年秋天发布的新一代Android Pie作业系统
，同样也会有各种各样的定制版本。
不过这些修改过的系统导致出现了令人头疼的问题，包括安全更新方
面的延迟。就像Stavrou和他的团队所发现的问题一样，这些漏洞会
导致固件出现错误，将使用者置于危险中。
Stavrou表示，这些问题不会消失，因为在整个智慧手机的供应链环
节中，有很多人都希望能够添加自己的应用程式，添加自己的代码。
这也增加了智慧手机被攻击的风险，提高了软件出现错误的可能性，
也正是这样的趋势，让使用者手中的终端最终出现了各种各样的问题
。
这次黑帽会议主要研究的设备集中在了华硕、LG、Essential和中兴
等几款设备上。
在获得DHS资助时，Kryptowire的研究并没有提到这一点，在研究的
初期团队并未关注制造商的意图，而是着眼于更广泛的Android生态
系统参与者如何助长了这种有问题的代码问题。
以华硕（2357）ZenFone V Live为例，Kryptowire公司发现，漏洞可
以让使用者被暴露在整个系统的接管过程中，包括对使用者的截图、
视讯记录、打电话、阅读记录和短信修改等。
随后，华硕立即发表了一份声明指出，目前华硕已经意识到外界对
ZenFone安全性的担忧，并且第一时间努力修复和解决这些问题。并
将通过软件升级的方式解决这些问题，同时会陆续向ZenFone用户推
送升级通知。
华硕致力于不断提高用户的安全和隐私，并且积极鼓励所有用户第一
时间更新到最新版本系统，确保智慧手机的安全性。华硕能拥有如此
迅速的反应，是非常让人称道的。
只是Stavrou质疑的是这种修复程式的有效性，用户必须接受这个软
体更新，但当制造商将更新不断推送到智慧手机上时，还是有用户拒
绝更新。
他还指出，在Kryptowire测试的一些型号中，更新在过程中就已经被
破坏，而这一发现也得到了德国安全研究实验室最新的一项研究成果
的支持。
根据Kryptowire的研究结果显示，想要进行攻击，大部分都需要使用
者安装特定的应用程式，有些应用的漏洞甚至不需要获取特殊权限
。换句话说，应用本身不会造成危害，但由于它们会访问你的文本，
调取系统日志，就会让系统本身的漏洞暴露无遗。
而不同的设备，这种情况也会引发不同的后果，例如中兴Blade
Spark和Blade Vantage，固件缺陷可以允许任何应用程式访问文本消
息、通话记录以及系统日志档，另外还包括诸如电子邮件和GPS座标
这样的敏感资讯。
而在Kryptowire的报告上，问题最严重的是LG G6，漏洞不仅会曝光
系统日志，而且还可以远端将使用者的设备锁定，攻击者可以将智慧
手机重新还原，并且清除掉资料和缓存。
LG通讯部门主管Shari Doherty表示，LG发现漏洞后，团队就已经开
始着手修复。LG似乎已经解决了一些问题，但并不是所有问题。
LG在声明中表示，LG已经意识到这些漏洞的存在，并且引入了安全更
新来解决这些问题。事实上，报告中提到的大部分漏洞都已经被修复
，或者被列入了即将维护更新的名单中，这些更新与安全风险无关
。 。
中兴也已经发表了声明，表示已经或正在与运营商合作，来提供修复
这些问题的更新。中兴会继续与合作伙伴及运营商合作，持续为用户
提供更新版本，保护消费者的设备。
通过这一系列的声明和进展，消费者看到了关键问题的所在。
Stavrou表示，这些更新可能需要几个月的时间来创建和测试，对制
造商和运营商来说都是一种挑战。
但对用户来说，能做的只有等待，因为这个问题用户自己无法解决，
甚至根本就意识不到。（财经中心／台北报导）
出版 13:00
更新18:21
https://tw.finance.appledaily.com/realtime/20180811/1409004
这下惨了，这里点到华硕、LG、中兴，还特别讲华硕的ZenFone V Live
不过这台台湾没有卖，规格也是属于比较低阶的
只能希望Android厂商要赶紧努力了，毕竟消费者是无能为力，只能选择用它牌手机吧